English

Razumijevanje SPAN, RSPAN i ERSPAN: Tehnike za praćenje mrežnog prometa

SPAN, RSPAN i ERSPANsu tehnike koje se koriste u umrežavanju za hvatanje i praćenje saobraćaja radi analize. Evo kratkog pregleda svakog od njih:

SPAN (Switched Port Analyzer)

Svrha: Koristi se za preslikavanje saobraćaja sa određenih portova ili VLAN-ova na komutatoru na drugi port radi nadgledanja.

Slučaj upotrebe: Idealan za analizu lokalnog prometa na jednom prekidaču. Saobraćaj se preslikava na određeni port gdje ga mrežni analizator može uhvatiti.

RSPAN (Udaljeni SPAN)

Svrha: Proširuje SPAN mogućnosti na više prekidača u mreži.

Slučaj upotrebe: Omogućava praćenje saobraćaja od jednog prekidača do drugog preko magistralne veze. Korisno za scenarije u kojima se uređaj za nadzor nalazi na drugom prekidaču.

ERSPAN (Encapsulated Remote SPAN)

Svrha: Kombinira RSPAN sa GRE (generička enkapsulacija rutiranja) za enkapsulaciju ogledanog prometa.

Slučaj upotrebe: Omogućava praćenje prometa preko rutiranih mreža. Ovo je korisno u složenim mrežnim arhitekturama gdje se promet treba uhvatiti u različitim segmentima.

Analizator portova prekidača (SPAN)je efikasan sistem za praćenje saobraćaja visokih performansi. On usmjerava ili preslikava promet sa izvornog porta ili VLAN-a na odredišni port. Ovo se ponekad naziva praćenjem sesije. SPAN se koristi za rješavanje problema s povezivanjem i izračunavanje iskorištenosti mreže i performansi, između mnogih drugih. Postoje tri tipa SPAN-ova podržanih na Cisco proizvodima…

a. SPAN ili lokalni SPAN.

b. Daljinski SPAN (RSPAN).

c. Inkapsulirani daljinski SPAN (ERSPAN).

Da znate: "Mylinking™ broker mrežnih paketa sa SPAN, RSPAN i ERSPAN funkcijama"

SPAN, RSPAN, ERSPAN

SPAN / zrcaljenje prometa / zrcaljenje portova se koristi u mnoge svrhe, u nastavku su neke.

- Implementacija IDS/IPS u promiskuitetnom modu.

- Rješenja za snimanje VOIP poziva.

- Razlozi usklađenosti sa sigurnošću za praćenje i analizu saobraćaja.

- Rješavanje problema sa vezom, praćenje prometa.

Bez obzira na tip SPAN-a koji radi, SPAN izvor može biti bilo koji tip porta, tj. rutirani port, fizički port komutatora, pristupni port, trunk, VLAN (svi aktivni portovi se nadgledaju komutatorom), EtherChannel (ili port ili cijeli port -channel interfaces) itd. Imajte na umu da port konfiguriran za SPAN odredište NE MOŽE biti dio SPAN izvornog VLAN-a.

SPAN sesije podržavaju praćenje ulaznog saobraćaja (ulazni SPAN), izlaznog saobraćaja (izlazni SPAN) ili saobraćaja koji teče u oba smjera.

- Ingress SPAN (RX) kopira promet koji primaju izvorni portovi i VLAN na odredišni port. SPAN kopira promet prije bilo kakve modifikacije (na primjer prije bilo kakvog VACL ili ACL filtera, QoS-a ili ulaznog ili izlaznog nadzora).

- Izlazni SPAN (TX) kopira promet koji se prenosi sa izvornih portova i VLAN-ova na odredišni port. Sva relevantna filtriranja ili modifikacije pomoću VACL ili ACL filtera, QoS-a ili ulaznih ili izlaznih policijskih radnji se poduzimaju prije nego što prekidač prosljeđuje promet na SPAN odredišni port.

- Kada se koriste obje ključne riječi, SPAN kopira mrežni promet koji primaju i prenose izvorni portovi i VLAN na odredišni port.

- SPAN/RSPAN obično ignoriše CDP, STP BPDU, VTP, DTP i PAgP okvire. Međutim, ovi tipovi prometa se mogu proslijediti ako je konfigurirana naredba za repliciranje enkapsulacije.

SPAN ili lokalni SPAN

SPAN odražava promet sa jednog ili više interfejsa na komutatoru na jedan ili više interfejsa na istom prekidaču; stoga se SPAN uglavnom naziva LOCAL SPAN.

Smjernice ili ograničenja za lokalni SPAN:

- Oba komutirani portovi sloja 2 i portovi sloja 3 mogu se konfigurirati kao izvorni ili odredišni portovi.

- Izvor može biti jedan ili više portova ili VLAN, ali ne i njihova kombinacija.

- Trank portovi su važeći izvorni portovi pomiješani sa izvornim portovima koji nisu trank.

- Na komutatoru se mogu konfigurirati do 64 SPAN odredišna porta.

- Kada konfigurišemo odredišni port, njegova originalna konfiguracija se prepisuje. Ako se ukloni SPAN konfiguracija, vraća se originalna konfiguracija na tom portu.

- Kada konfigurišete odredišni port, port se uklanja iz bilo kog paketa EtherChannel ako je bio deo njega. Ako je to bio rutirani port, konfiguracija SPAN odredišta nadjačava konfiguraciju usmjeranog porta.

- Odredišni portovi ne podržavaju sigurnost porta, 802.1x autentifikaciju ili privatne VLAN mreže.

- Port može djelovati kao odredišni port za samo jednu SPAN sesiju.

- Port se ne može konfigurirati kao odredišni port ako je izvorni port span sesije ili dio izvornog VLAN-a.

- Interfejsi kanala porta (EtherChannel) mogu se konfigurirati kao izvorni portovi, ali ne i odredišni port za SPAN.

- Smjer saobraćaja je po defaultu "oba" za SPAN izvore.

- Odredišni portovi nikada ne učestvuju u instanci razapinjućeg stabla. Ne može podržati DTP, CDP itd. Lokalni SPAN uključuje BPDU-ove u nadgledani promet, tako da se svi BPDU-ovi koji se vide na odredišnom portu kopiraju sa izvornog porta. Stoga nikada nemojte povezivati ​​prekidač na ovu vrstu SPAN-a jer bi to moglo uzrokovati mrežnu petlju.

- Kada je VLAN konfigurisan kao SPAN izvor (uglavnom se naziva VSPAN) sa konfigurisanim ulaznim i izlaznim opcijama, proslijedite duple pakete sa izvornog porta samo ako se paketi prebace u isti VLAN. Jedna kopija paketa je iz ulaznog saobraćaja na ulaznom portu, a druga kopija paketa je iz izlaznog saobraćaja na izlaznom portu.

- VSPAN prati samo promet koji napušta ili ulazi u portove Layer 2 u VLAN-u.

SPAN, RSPAN, ERSPAN 1

SPAN, RSPAN i ERSPAN su tehnike koje se koriste u umrežavanju za hvatanje i praćenje prometa radi analize. Evo kratkog pregleda svakog od njih:

SPAN (Switched Port Analyzer)

  • Svrha: Koristi se za preslikavanje saobraćaja sa određenih portova ili VLAN-ova na komutatoru na drugi port radi nadgledanja.
  • Slučaj upotrebe: Idealno za analizu lokalnog prometa na jednom prekidaču. Saobraćaj se preslikava na određeni port gdje ga mrežni analizator može uhvatiti.

RSPAN (Udaljeni SPAN)

  • Svrha: Proširuje SPAN mogućnosti na više prekidača u mreži.
  • Slučaj upotrebe: Omogućava praćenje saobraćaja od jednog prekidača do drugog preko trank veze. Korisno za scenarije u kojima se uređaj za nadzor nalazi na drugom prekidaču.

ERSPAN (Encapsulated Remote SPAN)

  • Svrha: Kombinira RSPAN sa GRE (generička enkapsulacija rutiranja) kako bi se inkapsulirao preslikani promet.
  • Slučaj upotrebe: Omogućava praćenje prometa preko rutiranih mreža. Ovo je korisno u složenim mrežnim arhitekturama gdje se promet treba uhvatiti u različitim segmentima.

Udaljeni SPAN (RSPAN)

Remote SPAN (RSPAN) je sličan SPAN-u, ali podržava izvorne portove, izvorne VLAN-ove i odredišne ​​portove na različitim prekidačima, koji obezbjeđuju daljinski nadzor prometa sa izvornih portova raspoređenih na više prekidača i omogućavaju centraliziranje uređaja za hvatanje mreže na odredištima. Svaka RSPAN sesija prenosi SPAN promet preko korisnički specificiranog namjenskog RSPAN VLAN-a u svim uključenim prekidačima. Ovaj VLAN se zatim spaja na druge komutatore, omogućavajući da se promet RSPAN sesije transportuje preko više komutatora i isporučuje do odredišne ​​stanice za hvatanje. RSPAN se sastoji od RSPAN izvorne sesije, RSPAN VLAN-a i RSPAN odredišne ​​sesije.

Smjernice ili ograničenja za RSPAN:

- Određeni VLAN mora biti konfiguriran za SPAN odredište koje će prelaziti preko međusklopki preko trank veza prema odredišnom portu.

- Može kreirati isti tip izvora – najmanje jedan port ili barem jedan VLAN, ali ne može biti miks.

- Odredište za sesiju je RSPAN VLAN, a ne jedan port u komutatoru, tako da će svi portovi u RSPAN VLAN-u primati preslikani promet.

- Konfigurirajte bilo koji VLAN kao RSPAN VLAN sve dok svi mrežni uređaji koji učestvuju podržavaju konfiguraciju RSPAN VLAN-ova i koristite isti RSPAN VLAN za svaku RSPAN sesiju

- VTP može širiti konfiguraciju VLAN-a s brojevima od 1 do 1024 kao RSPAN VLAN-ove, mora ručno konfigurirati VLAN-ove s brojem većim od 1024 kao RSPAN VLAN-ove na svim izvornim, posrednim i odredišnim mrežnim uređajima.

- Učenje MAC adrese je onemogućeno u RSPAN VLAN-u.

SPAN, RSPAN, ERSPAN 2

Inkapsulirani daljinski SPAN (ERSPAN)

Enkapsulirani udaljeni SPAN (ERSPAN) donosi generičku enkapsulaciju rutiranja (GRE) za sav uhvaćeni promet i omogućava njegovo proširenje na domene sloja 3.

ERSPAN je aCisco vlasničkii dostupna je samo za Catalyst 6500, 7600, Nexus i ASR 1000 platforme do danas. ASR 1000 podržava ERSPAN izvor (monitoring) samo na Fast Ethernet, Gigabit Ethernet i port-channel interfejsima.

Smjernice ili ograničenja za ERSPAN:

- ERSPAN izvorne sesije ne kopiraju ERSPAN GRE-enkapsulirani promet sa izvornih portova. Svaka ERSPAN izvorna sesija može imati ili portove ili VLAN-ove kao izvore, ali ne oboje.

- Bez obzira na bilo koju konfigurisanu MTU veličinu, ERSPAN kreira pakete Layer 3 koji mogu biti dugi i do 9.202 bajta. ERSPAN saobraćaj može biti odbačen od strane bilo kojeg sučelja u mreži koje nameće MTU veličinu manju od 9.202 bajta.

- ERSPAN ne podržava fragmentaciju paketa. Bit "ne fragmentiraj" je postavljen u IP zaglavlju ERSPAN paketa. ERSPAN odredišne ​​sesije ne mogu ponovo sastaviti fragmentirane ERSPAN pakete.

- ERSPAN ID razlikuje ERSPAN promet koji stiže na istu odredišnu IP adresu od različitih različitih izvornih ERSPAN sesija; konfigurirani ERSPAN ID mora se podudarati na izvornom i odredišnom uređaju.

- Za izvorni port ili izvorni VLAN, ERSPAN može pratiti ulazni, izlazni ili i ulazni i izlazni promet. Prema zadanim postavkama, ERSPAN prati sav promet, uključujući multicast i okvire jedinice podataka Bridge Protocol (BPDU).

- Tunelski interfejs podržan kao izvorni portovi za izvornu sesiju ERSPAN-a su GRE, IPinIP, SVTI, IPv6, IPv6 preko IP tunela, Multipoint GRE (mGRE) i Secure Virtual Tunnel Interfaces (SVTI).

- Opcija filter VLAN nije funkcionalna u ERSPAN sesiji nadgledanja na WAN sučeljima.

- ERSPAN na Cisco ASR ruterima serije 1000 podržava samo Layer 3 interfejse. Ethernet interfejsi nisu podržani na ERSPAN-u kada su konfigurisani kao interfejsi sloja 2.

- Kada je sesija konfigurirana preko ERSPAN konfiguracijskog CLI-a, ID sesije i tip sesije se ne mogu promijeniti. Da biste ih promijenili, prvo morate koristiti no formu konfiguracijske naredbe da biste uklonili sesiju, a zatim ponovo konfigurirali sesiju.

- Cisco IOS XE izdanje 3.4S: - Nadgledanje tunelskih paketa koji nisu zaštićeni IPsec podržano je na IPv6 i IPv6 preko IP tunelskih interfejsa samo do ERSPAN izvornih sesija, ne i do ERSPAN odredišnih sesija.

- Cisco IOS XE Release 3.5S, dodata je podrška za sljedeće tipove WAN interfejsa kao izvornih portova za izvornu sesiju: ​​serijski (T1/E1, T3/E3, DS0) , paket preko SONET-a (POS) (OC3, OC12) i Multilink PPP (multilink, pos i serial ključne riječi su dodate naredbi izvornog interfejsa).

SPAN, RSPAN, ERSPAN 3

Korištenje ERSPAN-a kao lokalnog SPAN-a:

Da bismo koristili ERSPAN za praćenje prometa kroz jedan ili više portova ili VLAN-ova na istom uređaju, moramo kreirati ERSPAN izvornu i ERSPAN odredišnu sesiju na istom uređaju, protok podataka se odvija unutar rutera, što je slično onom u lokalnom SPAN-u.

Sljedeći faktori su primjenjivi kada koristite ERSPAN kao lokalni SPAN:

- Obje sesije imaju isti ERSPAN ID.

- Obje sesije imaju istu IP adresu. Ova IP adresa je vlastita IP adresa rutera; odnosno IP adresa povratne petlje ili IP adresa konfigurisana na bilo kom portu.

(config)# sesija monitora 10 ukucajte erspan-source
(config-mon-erspan-src)# izvorni interfejs Gig0/0/0
(config-mon-erspan-src)# odredište
(config-mon-erspan-src-dst)# ip adresa 10.10.10.1
(config-mon-erspan-src-dst)# izvorna ip adresa 10.10.10.1
(config-mon-erspan-src-dst)# erspan-id 100

SPAN, RSPAN, ERSPAN 4

Vrijeme objave: 28.08.2024
Pritisnite enter za pretragu ili ESC da zatvorite